"Консультант", 2011, N 9
"Кто владеет информацией, тот владеет миром" - этот знаменитый афоризм Уинстона Черчилля как никогда актуален именно в современном обществе. Знания, идеи и технологии выходят на первый план, и лидерство на рынке зависит от того, насколько успешно компания может управлять своим интеллектуальным капиталом.
В этих условиях особое значение приобретает информационная безопасность организации.
Любая утечка информации к конкурентам или обнародование сведений о внутренних процессах мгновенно сказываются на тех позициях, которые компания занимает на рынке.
Система информационной безопасности должна предусматривать защиту от самых разных угроз: технических, организационных и тех, причиной которых является человеческий фактор.
Как показывает практика, основным каналом утечки информации являются инсайдеры.
Враг в тылу
Обычно инсайдером принято называть сотрудника компании, который приносит ей ущерб путем разглашения конфиденциальной информации.
Однако если мы рассмотрим три главных условия, обеспечение которых и является целью информационной безопасности, - конфиденциальность, целостность, доступность, - это определение можно расширить.
Инсайдером можно назвать сотрудника, имеющего легитимный служебный доступ к конфиденциальной информации предприятия, который становится причиной разглашения, искажения, порчи или недоступности информации.
Такое обобщение допустимо, потому что в современном мире нарушение целостности и доступности информации зачастую влечет за собой гораздо более тяжелые последствия для бизнеса, чем разглашение конфиденциальных сведений.
Для многих предприятий прекращение бизнес-процессов даже на непродолжительное время грозит ощутимыми финансовыми потерями, а нарушение функционирования в течение нескольких дней может нанести столь сильный удар, что последствия его могут стать фатальными.
Различные организации, изучающие бизнес-риски, регулярно публикуют результаты своих исследований. Согласно им инсайд уже на протяжении многих лет стабильно занимает первое место в списке причин нарушения информационной безопасности.
В связи с устойчивым ростом общего количества инцидентов можно сделать вывод, что актуальность проблемы все время возрастает.
Модель угроз
Для того чтобы выстроить надежную эшелонированную систему информационной безопасности, которая поможет эффективно бороться с проблемой, необходимо в первую очередь создать модель угроз.
Нужно понять, кто такие инсайдеры и что ими движет, почему они совершают те или иные действия.
Существуют разные подходы к созданию таких моделей, однако для практических целей можно воспользоваться следующей классификацией, которая включает в себя все основные типы инсайдеров.
Внутренний "хакер"
Такой сотрудник, как правило, обладает инженерной квалификацией выше среднего уровня, понимает устройство ресурсов предприятия, архитектуру вычислительных комплексов и сетей.
Действия по взлому совершает из любопытства, спортивного интереса, исследуя границы собственных возможностей.
Обычно он осознает возможный вред от своих действий, поэтому редко приносит ощутимый ущерб.
Степень опасности средняя, поскольку его действия могут вызвать временную остановку некоторых происходящих в компании процессов. Выявление деятельности возможно в первую очередь техническими средствами.
Безответственный и низкоквалифицированный сотрудник
Может обладать различными навыками и работать в любом подразделении предприятия.
Опасен потому, что не имеет обыкновения задумываться о последствиях своих действий, может работать с информационными ресурсами компании "методом проб и ошибок", ненамеренно уничтожать и искажать информацию.
Обычно не запоминает последовательности своих действий, а обнаружив негативные последствия, может просто умолчать о них.
Может раскрыть сведения, составляющие коммерческую тайну, в личном разговоре с приятелем или даже при общении на интернет-форумах и в социальных сетях.
Степень опасности очень высокая, особенно с учетом того, что этот тип нарушителя встречается чаще других. Последствия его деятельности могут быть гораздо серьезнее, чем у сознательного злоумышленника.
Для того чтобы предотвратить последствия совершенных им действий, необходимо принять целый спектр различных мер, как технических (авторизация, обязательное разделение рабочих сессий по аккаунтам), так и организационных (постоянный контроль со стороны руководства за процессом и результатом работы).
Психологически неустойчивый человек
Так же как представитель предыдущего типа, может работать на любой должности и обладать весьма разной квалификацией. Опасен по причине склонности к слабомотивированным действиям в условиях психологического дискомфорта: при экстремальных ситуациях, психологическом давлении со стороны других сотрудников или просто сильном раздражении.
В аффективном состоянии может выдать конфиденциальную информацию, повредить данные, нарушить привычный ход работы других людей.
Степень опасности средняя, однако этот тип нарушителя встречается не так часто.
Для предотвращения негативных последствий его поступков эффективнее всего использовать административные меры - выявлять таких людей еще на этапе собеседования, разграничивать доступ к информации и поддерживать комфортный психологический климат в коллективе.
Оскорбленный, обиженный сотрудник
Самая широкая группа потенциальных нарушителей режима информационной безопасности.
Теоретически совершать недружественные по отношению к компании поступки способно абсолютное большинство сотрудников.
Это может произойти в том случае, если руководство проявляет неуважение к личности работника или его профессиональным качествам, и когда это сказывается на уровне оплаты труда.
Потенциально такой тип инсайдеров представляет очень высокую опасность - возможны и утечки, и повреждения информации, причем вред от них будет гарантированно ощутимым для бизнеса, поскольку сотрудник наносит его сознательно и хорошо знает все уязвимые места.
Для выявления деятельности нужны как административные, так и технические меры.
Нечистый на руку сотрудник
Сотрудник, который пытается пополнить свое личное благосостояние за счет имущества компании, в которой он работает. Среди присваиваемых вещей могут оказаться различные носители конфиденциальной информации (жесткие диски, флэш-накопители, корпоративные ноутбуки).
В этом случае есть риск попадания информации к людям, для которых она не предназначалась, с последующей публикацией или передачей конкурентам.
Опасность средняя, но такой тип встречается нередко.
Для выявления нужны в первую очередь административные меры.
Представитель конкурента
Обладает, как правило, высокой квалификацией, занимает должности, обеспечивающие широкие возможности для получения информации, в том числе и конфиденциальной. Это либо завербованный, перекупленный конкурентами действующий сотрудник (чаще), либо специально внедренный в компанию инсайдер.
Степень опасности очень высокая, поскольку вред причиняется сознательно и с глубоким пониманием ценности информации, а также уязвимых мест компании.
Для выявления деятельности нужны и административные, и технические мероприятия.
Что похищаем?
Понимание проблемы инсайда невозможно без рассмотрения характера похищаемой информации.
Согласно статистике персональные данные клиентов, а также сведения о компаниях-клиентах и партнерах - самые востребованные, они похищаются более чем в половине случаев. Далее следуют детали сделок, условия контрактов и поставок. Также большой интерес вызывают финансовые отчеты.
При формировании комплекса защитных мер перед каждой компанией неизбежно возникает вопрос: какая конкретно информация требует специальных защитных мер, а какая в них не нуждается?
Разумеется, основанием для таких решений являются данные, полученные в результате анализа рисков. Однако зачастую предприятие располагает ограниченными финансовыми ресурсами, которые можно потратить на систему информационной безопасности, и их может не хватить на то, чтобы минимизировать все риски.
Два подхода
К сожалению, не существует готового ответа на вопрос: "Что защищать в первую очередь".
К решению этой задачи можно подойти с двух сторон.
Риск - это комплексный показатель, который учитывает как вероятность той или иной угрозы, так и возможный ущерб от нее. Соответственно, при расстановке приоритетов безопасности можно ориентироваться на один из этих показателей. Это значит, что в первую очередь защищается та информация, которую легче всего похитить (например, если к ней имеет доступ большое количество сотрудников), и та, похищение или блокирование которой приведет к наиболее тяжелым последствиям.
Важным аспектом проблемы инсайда является канал передачи информации. Чем больше физических возможностей несанкционированной передачи информации за пределы компании, тем выше вероятность того, что это произойдет.
Механизмы передачи
Механизмы передачи можно классифицировать следующим образом:
- устная передача (личный разговор);
- технические каналы передачи данных (телефонная связь, факсимильная связь, электронная почта, системы обмена сообщениями, различные социальные интернет-сервисы и т.д.);
- переносные носители и мобильные устройства (мобильные телефоны, внешние жесткие диски, ноутбуки, флэш-накопители и т.д.).
Согласно исследованиям в наше время самыми частыми каналами передачи конфиденциальных данных являются (по принципу убывания): электронная почта, мобильные устройства (в том числе ноутбуки), социальные сети и иные интернет-сервисы (такие, как системы мгновенного обмена сообщениями) и прочее.
Для контроля технических каналов могут применяться различные средства, в широком ассортименте представленные сейчас на рынке средств безопасности.
Например , системы контентной фильтрации (системы динамической блокировки), средства ограничения доступа к носителям информации (CD, DVD, Bluetooth).
Также применяются административные меры: фильтрация интернет-трафика, блокировка физических портов рабочих станций, обеспечение административного режима и физической охраны.
При выборе технических средств защиты конфиденциальной информации необходимо применять системный подход. Только таким образом можно добиться наибольшей эффективности от их внедрения.
Нужно также понимать, что задачи, стоящие перед каждой компанией, уникальны, и использовать решения, применяемые другими организациями, зачастую просто невозможно.
Борьба с инсайдом не должна вестись сама по себе, она является важным компонентом общего бизнес-процесса, направленного на обеспечение режима информационной безопасности.
Он должен осуществляться профессионалами и предусматривать полный цикл мероприятий: разработку политики информационной безопасности, определение области действия, анализ рисков, выбор контрмер и их внедрение, а также аудит системы информационной безопасности.
Если предприятие не обеспечивает режим информационной безопасности во всем комплексе, то риски финансовых потерь от утечек и порчи информации резко возрастают.
Минимизация рисков
Проверка
- Тщательная проверка соискателей, претендующих на любые должности в компании. Рекомендуется собрать максимум информации о кандидате, включая содержимое его страниц в социальных сетях. Также может помочь обращение за характеристикой на предыдущее место работы.
- Особенно тщательной проверке должны подвергаться кандидаты на должности инженеров IT. Практика показывает, что более половины всех инсайдеров - системные администраторы и программисты.
- При приеме на работу должна проводиться хотя бы минимальная психологическая проверка кандидатов. Она поможет выявить соискателей с неустойчивой психикой.
Право доступа
- Система разделения доступа к корпоративным ресурсам. На предприятии должна быть создана регламентирующая документация, ранжирующая информацию по уровню конфиденциальности и четко прописывающая права доступа к ней. Доступ к любым ресурсам должен быть персонифицированным.
- Права доступа к ресурсам должны выделяться по принципу "минимальной достаточности". Доступ к обслуживанию технических средств, даже с правами администратора, не всегда должен сопровождаться доступом к просмотру самой информации.
- Насколько возможно глубокий мониторинг действий пользователя, с обязательной авторизацией и записью сведений о произведенных операциях в журнале. Чем тщательнее ведутся журналы (логи), тем в большей мере руководство владеет ситуацией в компании. То же относится и к действиям сотрудника при использовании служебного доступа к Интернету.
Стандарт общения
- Внутри организации должен быть принят свой стандарт общения, который исключал бы все формы некорректного поведения сотрудников по отношению друг к другу (агрессия, насилие, излишняя фамильярность). В первую очередь это относится к отношениям "руководитель - подчиненный".
У сотрудника ни при каких условиях не должно появиться ощущение, что с ним поступают несправедливо, его недостаточно ценят, излишне эксплуатируют, обманывают.
Соблюдение этого простого правила позволит избежать абсолютного большинства ситуаций, провоцирующих сотрудников на инсайд.
Конфиденциальность
Соглашение о неразглашении конфиденциальной информации не должно быть простой формальностью. Оно должно быть подписано всеми сотрудниками, имеющими доступ к важным информационным ресурсам компании.
Кроме того, еще на этапе собеседования потенциальным работникам необходимо разъяснить, каким образом в компании ведется контроль за информационной безопасностью.
Контроль средств
Представляет собой контроль технических средств, используемых сотрудником для рабочих целей.
Например , использование личного ноутбука нежелательно, поскольку при увольнении сотрудника скорее всего не удастся узнать, какая информация на нем хранится.
По той же причине нежелательно использование ящиков электронной почты на внешних ресурсах.
Внутренний распорядок
На предприятии должны соблюдаться правила внутреннего распорядка.
Необходимо располагать информацией о времени пребывания сотрудников на рабочем месте.
Также должен быть обеспечен контроль перемещения материальных ценностей.
Соблюдение всех перечисленных правил позволит снизить риск порчи или утечки информации через инсайд, а значит, поможет предотвратить существенные финансовые или репутационные потери.
Управляющий партнер
группы компаний Hosting Community
Стремительное развитие информационных технологий и современных средств коммуникации значительно осложнило контроль над потоками данных. Представить нормальную работу компании без электронной почты, интернет-пейджеров, мобильных устройств и других средств оперативной передачи информации просто невозможно. Бухгалтерские документы, финансовые отчеты, базы данных, договоры с клиентами, планы по развитию и другие конфиденциальные сведения хранятся и обрабатываются в электронном виде, а значит, могут быть частично или полностью скопированы и переданы злоумышленникам.
Идентификация рисков
По данным аналитического центра InfoWatch, в 2007 году в мире было зафиксировано более 500 инсайдерских инцидентов, общий ущерб от которых составил около $58 млрд, что на 30% превышает аналогичный показатель 2006 года. Понятно, что невыявленных случаев утечки информации может быть в разы больше. Если говорить о ситуации в России, то о масштабе проблемы свидетельствует, например, количество нелегального программного обеспечения с всевозможными базами данных по доступным ценам.
Идентификацию информационных рисков можно начать с выяснения вопроса о том, какого рода данные и по каким каналам чаще всего утекают из российских компаний. В ходе исследования «Инсайдерские угрозы 2008», проведенного аналитическим центром Perimetrix, были опрошены представители более 470 отечественных предприятий. По мнению респондентов, чаще всего из компаний похищают персональные данные, включая сведения о клиентах (57%), а также детали конкретных сделок (47%) и финансовые отчеты (38%), далее следуют интеллектуальная собственность (25%) и бизнес-планы (19%) (рис. 1)
Источник: Исследование Perimetrix «Инсайдерские угрозы 2008»
Самым распространенным каналом утечки конфиденциальных данных в том же исследовании были признаны мобильные накопители большой емкости (например, на основе флеш-памяти или магнитных пластин) (рис. 2). Другое исследование инцидентов внутренней информационной безопасности, проведенное аналитическим центром InfoWatch, также показало, что в 2007 году наибольшее количество утечек информации произошло через мобильные устройства (ноутбуки, КПК, USB-флешки, CD- и DVD-диски и др.).
Вторым по популярности способом передачи секретных сведений оказалась корпоративная электронная почта, доступ к которой сегодня имеет практически каждый офисный сотрудник. Дело в том, что далеко не все фирмы фильтруют почтовый трафик на предмет конфиденциальных данных, к тому же методы контентной фильтрации могут иметь низкую эффективность. Примерно в два раза реже, чем рабочую электронную почту, инсайдеры используют вeб-почту (mail.ru, yandex.ru и т.п.) и интернет-пейджеры. Это может объясняться ограничениями на доступ в интернет, которые действуют во многих организациях.
Источник: исследование Perimetrix «Инсайдерские угрозы 2008»
Однако корыстные инсайдеры - лишь одна из категорий недобросовестных работников, представляющих угрозу внутренней информационной безопасности компании. Как показывают исследования, значительно больше утечек происходит по вине неосмотрительных сотрудников, которые пренебрегают элементарными средствами защиты информации (CCleaner) или нарушают должностные инструкции по работе с конфиденциальными данными. В качестве примера можно привести случаи потери USB-накопителей или ноутбуков с незашифрованными данными либо ситуации, когда сотрудники без собственного корыстного умысла оказываются поставщиками ценной информации для злоумышленников, вводящих их в заблуждение.
Таким образом, результаты исследований позволяют выделить несколько проблемных областей, с которыми связаны основные угрозы внутренней информационной безопасности для большинства российских компаний:
- отсутствие контроля над копированием конфиденциальных документов на сменные носители или внешние устройства, подключаемые через различные порты и беспроводные сети;
- отсутствие протоколирования операций с конфиденциальными документами, хранящимися в электронном виде;
- отсутствие контроля над распечаткой конфиденциальных документов;
- отсутствие контроля над конфиденциальными документами, выносимыми за пределы компании на ноутбуках сотрудников.
Понятно, что минимизировать риски в перечисленных областях с помощью систем защиты информации, которые сегодня используются в большинстве российских компаний, практически невозможно. Антивирусы, межсетевые экраны, контроль доступа и системы обнаружения/предотвращения вторжений (IDS/IPS), составляющие основу информационной безопасности многих отечественных предприятий, ориентированы, в основном, на защиту от внешних угроз и малоприменимы для борьбы с инсайдерами.
Для предотвращения утечек конфиденциальной информации, связанных с действиями самих сотрудников, необходимы комплексные меры, направленные на построение системы управления внутренней информационной безопасностью и внедрение режима коммерческой тайны.
Обеспечение внутренней информационной безопасности
Внедрение системы внутренней информационной безопасности на предприятии - процесс длительный и весьма затратный, поэтому его рекомендуется разделить на несколько последовательно реализуемых этапов. В первую очередь необходимо провести классификацию всей внутренней информации с разделением на категории по уровню конфиденциальности. Данные, с которыми работают сотрудники, можно разделить на общедоступные (без ограничений в доступе), чувствительные (ограниченный доступ), персональные и конфиденциальные (специальный допуск для использования).
На следующем этапе необходимо определить, где хранится и как обрабатывается информация различных категорий доступа, а также кто отвечает за ее сохранность. Для каждой категории информации потребуется прописать процедуры обращения с ней: как копировать, хранить, передавать и уничтожать. С этой целью проводится инвентаризация ресурсов, используемых в работе с информацией. Некоторые специалисты предлагают выделять в ходе подобного аудита информационные, программные и физические ресурсы. К информационным ресурсам, содержащим конфиденциальные сведения, могут относиться файлы, базы данных, документация руководства и т.п. Программные ресурсы, обрабатывающие конфиденциальную информацию, включают прикладные программы, СУБД (MS SQL, Oracle), средства управления документами, а также почтовые системы и proxy-серверы, через которые проходит и кэшируется информация. К физическим ресурсам, в которых обрабатывается конфиденциальная информация, относятся серверы, рабочие станции, съемные носители, ноутбуки, коммуникационное оборудование и т.п. Пример инвентаризации информационных ресурсов представлен в табл. 1.
Таблица 1. Пример инвентаризации информационных ресурсов
Вид информации |
Расположение |
||
Производственная |
Планы производства, интеллектуальная собственность, описание технологий, внутренние разработки |
Файловые серверы, СУБД |
Конфиденциальная |
Инфраструктурная |
Карты IT- инфраструктуры, IT- системы, логины |
Локально |
Чувствительная |
Финансовая |
Бухгалтерская информация, финансовые планы, отчеты, балансы |
База 1С либо другая среда работы финансового департамента |
Конфиденциальная |
Кадровая |
Личные карточки персонала |
Локально, файловый сервер |
Чувствительная |
Файлы и документы для внутреннего обмена |
Персональная |
||
Внутрикорпоративная |
Отчеты собраний, приказы, распоряжения, статьи |
Файловый сервер |
Общедоступная |
Развлекательная |
Фотографии, видеоролики, фильмы, аудиокниги |
Расширенные папки либо выделенный файловый сервер |
Последние исследования в области информационной безопасности, например ежегодное CSI/FBI Computer Crime And Security Survey, показало, что финансовые потери компаний от большинства угроз год от года снижаются. Однако есть несколько рисков, убытки от которых растут. Одно из них - намеренное воровство конфиденциальной информации или же нарушение правил обращения с ней теми сотрудниками, доступ которых к коммерческим данным необходим для выполнения служебных обязанностей. Их называют инсайдерами. В подавляющем большинстве случаев воровство конфиденциальной информации осуществляется с помощью мобильных носителей: CD и DVD-дисков, ZIP-устройств и, самое главное, всевозможных USB- накопителей. Именно их массовое распространение и привело к расцвету инсайдсрства по всему миру. Руководители большинства банков прекрасно понимают, чем может грозить, например, попадание базы данных с персональными данными их клиентов или, тем более, проводками по их счетам в руки криминальных структур. И они пытаются бороться с вероятным воровством информации доступными им организационными методами. Однако организационные методы в данном случае неэффективны. Сегодня можно организовать перенос информации между компьютерами с помощью миниатюрной флешки, сотового телефона, трЗ-плссра, цифрового фотоаппарата... Конечно, можно попробовать запретить проносить на территорию офиса все эти устройства, однако это, во-первых, негативно скажется на отношениях с сотрудниками, а во-вторых, наладить реально действенный контроль над людьми все равно очень сложно - банк не «почтовый ящик». И даже отключение на компьютерах всех устройств, которые могут использоваться для записи информации на внешние носители (FDD и ZIP-диски, CD и DVD-приводы и т.п.), и USB-портов не поможет. Ведь первые нужны для работы, а ко вторым подключается различная периферия: принтеры, сканеры и т.п. И никто нс может помешать человеку отключить на минуту принтер, вставить в освободившийся порт флеш- диск и скопировать на него важную информацию. Можно, конечно, найти оригинальные способы защиты. Например, в одном банке попробовали такой метод решения проблемы: залили место соединения USB-порта и кабеля эпоксидной смолой, намертво «привязав» последний к компьютеру. Но, к счастью, сегодня существуют более современные, надежные и гибкие способы контроля. Самым эффективным средством минимизации рисков, связанных с инсайдерами, является специальное программное обеспечение, осуществляющее динамическое управление всеми устройствами и портами компьютера, которые могут использоваться для копирования информации. Принцип их работы таков. Для каждой группы пользователей или для каждого пользователя в отдельности задаются разрешения на использование различных портов и устройств. Самое большое преимущество такого ПО - гибкость. Вводить ограничения можно для конкретных типов устройств, их моделей и отдельных экземпляров. Это позволяет реализовывать очень сложные политики распределения прав доступа. Например, некоторым сотрудникам можно разрешить использовать любые принтеры и сканеры, подключенные к USB-портам. Все же остальные устройства, вставленные в этот порт, останутся недоступными. Если же в банке применяется система аутентификации пользователей, основанная на токенах, то в настройках можно указать используемую модель ключей. Тогда пользователям будет разрешено использовать только приобретенные компанией устройства, а все остальные окажутся бесполезными. Исходя из описанного выше принципа работы систем защиты, можно понять, какие моменты важны при выборе программ, реализующих динамическое блокирование устройств записи и портов компьютера. Во- первых, это универсальность. Система защиты должна охватывать весь спектр возможных портов и устройств ввода-вывода информации. Иначе риск кражи коммерческой информации остается недопустимо высоким. Во-вторых, рассматриваемое ПО должно быть гибким и позволять создавать правила с использованием большого количество разнообразной информации об устройствах: их типов, производителей моделей, уникальных номеров, которые есть у каждого экземпляра и т.п. Ну и, в-третьих, система защиты от инсайдеров должна иметь возможность интеграции с информационной системой банка, в частности с Active Directory. В противном случае администратору или офицеру безопасности придется вести по две базы пользователей и компьютеров, что нс только неудобно, но и увеличивает риски возникновения ошибок. В последнее время проблема защиты от внутренних угроз стала настоящим вызовом понятному и устоявшемуся миру корпоративной ИБ. Пресса рассказывает об инсайдерах, исследователи и аналитики предупреждают о возможных убытках и неприятностях, а новостные ленты пестрят сообщениями об очередном инциденте, приведшем к утечке сотен тысяч записей о клиентах из-за ошибки или невнимательности сотрудника. Попробуем разобраться, так ли серьезна эта проблема, надо ли ей заниматься, и какие доступные средства и технологии существуют для ее решения. Прежде всего, стоит определить, что угроза конфиденциальности данных является внутренней, если ее источником является сотрудник предприятия или какое-либо другое лицо, имеющее легальный доступ к этим данным. Таким образом, когда мы говорим о внутренних угрозах, мы говорим о каких-либо возможных действиях легальных пользователей, умышленных или случайных, которые могут привести к утечке конфиденциальной информации за пределы корпоративной сети предприятия. Для полноты картины стоит добавить, что таких пользователей часто называют инсайдерами, хотя этот термин имеет и другие значения. Актуальность проблемы внутренних угроз подтверждается результатами последних исследований. В частности, в октябре 2008 года были оглашены результаты совместного исследования компании Compuware и Ponemon Institue, согласно которым инсайдеры являются самой распространенной причиной утечек данных (75% инцидентов в США), тогда как хакеры оказались всего лишь на пятом месте. В ежегодном исследовании Computer Security Institute (CSI) за 2008 год цифры, говорящие о количестве инцидентов, связанных с внутренними угрозами, выглядят следующим образом: Количество инцидентов в процентах означает, что из общего числа опрошенных данный тип инцидента происходил в указанном проценте организаций. Как видно из данных цифр, риск пострадать от внутренних угроз есть практически у каждой организации. Для сравнения, в соответствии с тем же отчетом, вирусы поразили 50% опрошенных организаций, а с проникновением хакеров в локальную сеть столкнулось только 13%. Таким образом, внутренние угрозы – это реальность сегодняшнего дня, а не придуманный аналитиками и вендорами миф. Так что тем, кто по старинке считает, что корпоративная ИБ – это межсетевой экран и антивирус, необходимо как можно скорее взглянуть на проблему шире. Повышает градус напряженности и закон «О персональных данных», в соответствии с которым за ненадлежащее обращение с персональными данными организациям и должностным лицам придется отвечать не только перед своим руководством, а еще и перед своими клиентами и перед законом. Модель нарушителяТрадиционно при рассмотрении угроз и средств защиты от них следует начинать с анализа модели нарушителя. Как уже упоминалось, мы будем говорить об инсайдерах – сотрудниках организации и других пользователях, имеющих легальный доступ к конфиденциальной информации. Как правило, при этих словах всем приходит на ум офисный сотрудник, работающий на компьютере в составе корпоративной сети, который в процессе работы не покидает пределов офиса организации. Однако, такое представление неполно. Необходимо его расширить за счет других видов лиц, имеющих легальный доступ к информации, которые могут покидать офис организации. Это могут быть командированные с ноутбуками, или работающие и в офисе и дома, курьеры, перевозящие носители с информацией, в первую очередь, магнитные ленты с резервной копией и т.д. Такое расширенное рассмотрение модели нарушителя, во-первых, укладывается в концепцию, поскольку угрозы, исходящие от этих нарушителей также относятся к внутренним, а во-вторых, позволяет проанализировать проблему более широко, рассмотрев все возможные варианты борьбы с этими угрозами. Можно выделить следующие основные типы внутренних нарушителей:
Таким образом, мотивы, а, следовательно, и образ действий потенциальных нарушителей может существенно отличаться. В зависимости от этого следует подходить к решению задачи обеспечения внутренней безопасности организации. Технологии защиты от внутренних угрозНесмотря на относительную молодость данного сегмента рынка, клиентам уже есть из чего выбирать в зависимости от их задач и финансовых возможностей. Стоит отметить, что сейчас на рынке практически нет вендоров, которые специализировались бы исключительно на внутренних угрозах. Такая ситуация сложилась не только из-за незрелости данного сегмента, но еще и благодаря агрессивной и иногда хаотичной политике слияний и поглощений, которую проводят производители традиционных средств защиты и другие вендоры, заинтересованные в присутствии на этом сегменте. Стоит напомнить о компании RSA Data Security, которая стала подразделением EMC в 2006 году, покупку компанией NetApp стартапа Decru, занимавшегося разработкой систем защиты серверных хранилищ и резервных копий в 2005, покупку компанией Symantec DLP-вендора Vontu в 2007 году и т. д. Несмотря на то, что большое количество подобных сделок говорит о хороших перспективах развития данного сегмента, они не всегда идут на пользу качеству продуктов, которые переходят под крыло крупных корпораций. Продукты начинают медленней развиваться, а разработчики не так оперативно реагируют на требования рынка по сравнению с узкоспециализированной компанией. Это общеизвестная болезнь больших компаний, которые, как известно, проигрывают в мобильности и оперативности своим меньшим братьям. С другой стороны, улучшается качество сервиса и доступность продуктов для клиентов в разных точках земного шара благодаря развитости их сервисной и сбытовой сети. Рассмотрим основные технологии, применяемые в настоящее время для нейтрализации внутренних угроз, их преимущества и недостатки. Контроль документовТехнология контроля документов воплощается в современных продуктах класса rights management, таких как Microsoft Windows Rights Management Services, Adobe LiveCycle Rights Management ES и Oracle Information Rights Management. Принцип работы данных систем заключается в назначении правил использования для каждого документа и контроля этих прав в приложениях, работающих с документами данных типов. Например, можно создать документ Microsoft Word и задать для него правила, кому можно его просматривать, кому редактировать и сохранять изменения, а кому печатать. Данные правила в терминах Windows RMS называются лицензией и хранятся вместе с файлом. Содержимое файла зашифровывается для предотвращения возможности его просмотра неавторизованным пользователем. Теперь если любой пользователь пытается открыть такой защищенный файл, приложение связывается со специальным RMS-сервером, подтверждает полномочия пользователя, и, если доступ этому пользователю разрешен, сервер передает приложению ключ для расшифрования данного файла и информацию о правах данного пользователя. Приложение на основе этой информации делает доступными для пользователя только те функции, для выполнения которых у него есть права. Например, если пользователю запрещено печатать файл, функция печати в приложении будет недоступна. Получается, что информация в таком файле безопасна даже в случае, если файл попадет за пределы корпоративной сети – она зашифрована. Функции RMS уже встроены в приложения Microsoft Office 2003 Professional Edition. Для встраивания функций RMS в приложения других разработчиков Microsoft предлагает специальный SDK. Система контроля документов от Adobe построена аналогичным образом, но ориентирована на документы в формате PDF. Система Oracle IRM устанавливается на клиентские компьютеры в виде агента и интегрируется с приложениями на этапе их выполнения. Контроль документов – это важная часть общей концепции защиты от внутренних угроз, однако необходимо учитывать естественные ограничения этой технологии. Во-первых, она рассчитана исключительно на контроль файлов-документов. Если речь идет о неструктурированных файлах или базах данных, данная технология не работает. Во-вторых, если злоумышленник, используя SDK этой системы, создаст простейшее приложение, которое будет связываться с RMS-сервером, получать оттуда ключ шифрования и сохранять документ в открытом виде и запустит это приложение от имени пользователя, имеющего минимальный уровень доступа к документу, то данная система будет обойдена. Кроме этого, следует учитывать сложности при внедрении системы контроля документов в случае, если в организации уже создано много документов – задача первоначальной классификации документов и назначения прав их использования может потребовать значительных усилий. Это не значит, что системы контроля документов не выполняют поставленной задачи, просто надо помнить, что защита информации – проблема комплексная, и решить ее с помощью только какого-либо одного средства, как правило, не удается. Защита от утечекТермин защита от утечек (data loss prevention, DLP) появился в лексиконе специалистов по ИБ сравнительно недавно, и уже успел стать, без преувеличения, самой горячей темой последних лет. Как правило, аббревиатурой DLP обозначают системы, контролирующие возможные каналы утечки и блокирующие их в случае попытки пересылки по этим каналам какой-либо конфиденциальной информации. Кроме этого, в функции подобных систем часто входит возможность архивирования проходящей по ним информации для последующего аудита, расследования инцидентов и ретроспективного анализа потенциальных рисков. Различают два вида DLP-систем: сетевые DLP и хостовые DLP. Сетевые DLP работают по принципу сетевого шлюза, который фильтрует все проходящие через него данные. Очевидно, что исходя из задачи борьбы с внутренними угрозами, основной интерес такой фильтрации заключается в возможности контроля данных, передаваемых за пределы корпоративной сети в интернет. Сетевые DLP позволяют контролировать исходящую почту, http- и ftp-трафик, службы мгновенных сообщений и т. д. При обнаружении конфиденциальной информации сетевые DLP могут заблокировать передаваемый файл. Также существуют возможности по ручной обработке подозрительных файлов. Подозрительные файлы помещаются в карантин, который периодически просматривает офицер безопасности и либо разрешает передачу файла, либо запрещает ее. Правда, такая обработка в силу особенностей протокола возможна только для электронной почты. Дополнительные возможности по аудиту и расследованию инцидентов предоставляет архивирование всех проходящей через шлюз информации при условии, что этот архив периодически просматривается и его содержимое анализируется с целью выявления имевших место утечек. Одной из основных проблем при реализации и внедрении DLP-систем является способ детектирования конфиденциальной информации, то есть, момент принятия решения о том, является ли передаваемая информация конфиденциальной и основания, которые учитываются при принятии такого решения. Как правило, для этого производится анализ содержимого передаваемых документов, называемый также контентным анализом. Рассмотрим основные подходы к детектированию конфиденциальной информации.
Из приведенного списка легко заметить, что методы детектирования либо не гарантируют 100% определения конфиденциальной информации, поскольку уровень ошибок как первого, так и второго рода в них достаточно высок, либо требуют постоянного бдения службы безопасности для обновления и поддержания в актуальном виде списка сигнатур или присваивания меток конфиденциальным документам. Кроме этого, определенную проблему в работе сетевых DLP может создать шифрование трафика. Если по требованиям безопасности необходимо шифровать сообщения электронной почты или использовать протокол SSL при соединении с какими-либо веб-ресурсами, проблема определения наличия конфиденциальной информации в передаваемых файлах может быть весьма сложноразрешимой. Не стоит забывать и о том, что в некоторые сервисы мгновенных сообщений, например, в Skype, шифрование встроено по умолчанию. От использования таких сервисов придется отказываться или использовать для их контроля хостовые DLP. Тем не менее, несмотря на все сложности, при правильной настройке и серьезном подходе сетевые DLP могут значительно снизить риск утечки конфиденциальной информации и дать организации удобное средство для внутреннего контроля. Хостовые DLP устанавливаются на каждый хост в сети (на клиентские рабочие станции и, при необходимости, на сервера) и также могут быть использованы для контроля интернет-трафика. Однако в этом качестве хостовые DLP получили меньшее распространение, и используются в настоящее время в основном для контроля внешних устройств и принтеров. Как известно, сотрудник, принесший на работу с флешку или с MP3-плеер, представляет для информационной безопасности предприятия гораздо большую угрозу, чем все хакеры, вместе взятые. Еще эти системы называют средствами обеспечения безопасности конечных точек сети (endpoint security), хотя часто этот термин используется более широко, например, так иногда называют антивирусные средства. Как известно, проблему использования внешних устройств можно решить без использования каких-либо средств, отключив порты либо физически, либо средствами операционной системы, или административно, запретив сотрудникам приносить в офис любые носители информации. Однако, в большинстве случаев подход «дешево и сердито» неприемлем, поскольку не обеспечивается должная гибкость информационных служб, предъявляемая со стороны бизнес-процессов. Из-за этого возник определенный спрос на специальные средства, с помощью которых можно более гибко решить проблему использования внешних устройств и принтеров сотрудниками компаний. Такие средства позволяют настраивать права доступа для пользователей к различным видам устройств, например, для одной группы пользователей запрещать работу с носителями и разрешать с принтерами, а для другой – разрешать работу с носителями в режиме «только чтение». В случае необходимости записи информации на внешние устройства для отдельных пользователей может использоваться технология теневого копирования, которая обеспечивает копирование на сервер всей информации, которая сохраняется на внешнее устройство. Скопированная информация может быть впоследствии проанализирована с целью анализа действий пользователей. Данная технология копирует все подряд, и в настоящее время нет систем, которые позволяют проводить контентный анализ сохраняемых файлов для того, чтобы заблокировать операцию и предотвратить утечку, как это делают сетевые DLP. Тем не менее, архив теневых копий обеспечит расследование инцидентов и ретроспективный анализ событий в сети, и наличие такого архива означает для потенциального инсайдера возможность быть пойманным и наказанным за свои действия. Это может оказаться для него существенным препятствием и весомой причиной отказаться от враждебных действий. Стоит еще упомянуть контроль использования принтеров – твердые копии документов тоже могут стать источником утечки. Хостовые DLP позволяют контролировать доступ пользователей к принтерам так же, как и к другим внешним устройствам, и сохранять копии распечатываемых документов в графическом формате для последующего анализа. Кроме этого, определенное распространение получила технология водяных знаков (watermarks), которая реализует печать на каждой странице документа уникального кода, по которому можно определить, кто именно, когда и где печатал этот документ. Несмотря на несомненные плюсы хостовых DLP, у них есть ряд недостатков, связанных с необходимостью установки агентского ПО на каждом компьютере, который предполагается контролировать. Во-первых, это может вызвать определенные сложности с точки зрения развертывания таких систем и управления ими. Во-вторых, пользователь с правами администратора может попытаться отключить это ПО для совершения каких-либо действий, не разрешенных политикой безопасности. Тем не менее, для надежного контроля внешних устройств без хостовых DLP не обойтись, а упомянутые проблемы не относятся к разряду неразрешимых. Таким образом, можно сделать вывод, что концепция DLP в настоящее время является полноправным средством в арсенале корпоративных служб безопасности в условиях постоянно усиливающегося на них давления по обеспечению внутреннего контроля и защите от утечек. Концепция IPCВ процессе изобретения новых средств борьбы с внутренними угрозами научно-инженерная мысль современного общества не останавливается, и, учитывая определенные недостатки средств, которые рассматривались выше, рынок систем защиты от утечек информации пришел к концепции IPC (Information Protection and Control). Данный термин появился сравнительно недавно, считается, что впервые он был использован в обзоре аналитической компанией IDC в 2007 году. Суть данной концепции заключается в объединении методов DLP и шифрования. В данной концепции с помощью DLP контролируется информация, покидающая пределы корпоративной сети по техническим каналам, а шифрование используется для защиты носителей данных, которые физически попадают или могут попасть в руки посторонних лиц. Рассмотрим наиболее распространенные технологии шифрования, которые могут применяться в концепции IPC.
Здесь стоит сделать небольшое отступление и упомянуть про распространенное заблуждение о том, что если диск находится в составе RAID-массива, то, якобы, можно не беспокоиться о том, что он попадет в посторонние руки. Казалось бы, чередование записываемых данных на несколько жестких дисков, которое выполняют контроллеры RAID, обеспечивает нечитаемый вид данным, которые находятся на каком-то одном жестком виде. К сожалению, это не совсем так. Чередование действительно имеет место, однако в большинстве современных устройств оно выполняется на уровне блоков по 512 байт. Это означает, что, несмотря на нарушение структуры и форматов файлов, конфиденциальную информацию извлечь из такого жесткого диска все равно можно. Поэтому если поставлено требование по обеспечению конфиденциальности информации при ее хранении в RAID-массиве, единственным надежным вариантом остается шифрование.
Таким образом, шифрование может существенно расширить возможности DLP-систем и снизить риски утечки конфиденциальных данных. Несмотря на то, что концепция IPC оформилась сравнительно недавно, и выбор комплексных IPC-решений на рынке не слишком широк, индустрия активно осваивает эту область и вполне возможно, что через некоторое время эта концепция станет стандартом де-факто для решения проблем внутренней безопасности и внутреннего контроля. ВыводыКак видно из данного обзора, внутренние угрозы – это достаточно новая область в ИБ, которая, тем не менее, активно развивается и требует к себе повышенного внимания. Рассмотренные технологии контроля документов, DLP и IPC позволяют построить достаточно надежную систему внутреннего контроля и снизить риск утечки до приемлемого уровня. Без сомнения, данная область ИБ продолжит развиваться, будут предлагаться более новые и совершенные технологии, но уже сегодня многие организации делают выбор в пользу того или иного решения, поскольку беспечность в вопросах информационной безопасности может обойтись слишком дорого. Алексей Раевский Для эффективной защиты от инсайдеров в первую очередь необходимо обеспечить контроль над всеми коммуникационными каналами - от обычного офисного принтера до обычной флешки и фотокамеры мобильника. Методы защиты от инсайдеров:
По итогам ежегодного опроса Института компьютерной безопасности (CSI, Computer Security Institute), в 2007 г. специалисты по безопасности выделили три основные проблемы, с которыми им пришлось сталкиваться в течение года: 59% признали угрозой № 1 инсайдеров, 52% - вирусы и 50% - потерю мобильного носителя (ноутбука, флэш-накопителя). Итак, проблема внутренних нарушителей в Америке впервые начала превалировать над проблемой вирусов. К сожалению, подобной информацией по России мы не располагаем, однако есть основания утверждать, что ситуация в нашей стране, как минимум, схожа. Так, в ходе круглого стола по проблеме утечки информации вследствие действий инсайдеров, проходившего в октябре на ежегодной конференции Aladdin, прозвучали результаты опроса системных администраторов государственных учреждений, как известно, имеющих невысокий уровень дохода. На вопрос, за какую сумму у них можно получить конфиденциальные данные, только 10% опрошенных ответили, что никогда не пойдут на такое должностное преступление, около половины опрошенных готовы рискнуть за большие деньги, а примерно 40% готовы пойти на это за любое вознаграждение. Как говорится, комментарии излишни. Основная сложность организации защиты от инсайдера заключается в том, что он законный пользователь системы и по долгу службы имеет доступ к конфиденциальной информации. То, как сотрудник распоряжается этим доступом в рамках служебных полномочий или за их пределами, отследить весьма сложно. Рассмотрим основные задачи борьбы с внутренними нарушителями (см. таблицу).
|